Перейти к содержанию

HEUR:Trojan.Script.Miner.gen


Зимовщик

Рекомендуемые сообщения

Добрый день!

 

При работе с браузерами антивирус Касперсого выдает сообщение о попытке перехода по вредоносной ссылке:

 

13.06.2018 15.16.24;Загрузка запрещена;[ссылка]программа;06/13/2018 15:16:24

 

Полная проверка всех дисков нашла некоторые вырусы, но проблема не исчезла.

 

Прочитав в такой же ветке с таким же вирусом первую инструкцию, сделал отчет в VirusInfo:

https://virusinfo.info/virusdetector/report.php?md5=C5388A74228CF02F69395CE0F64148A6

Изменено пользователем Sandor
Убрал ссылку
Ссылка на комментарий
Поделиться на другие сайты

Выполнил по порядку все описанные действия согласно порядка оформления запроса о помощи.

Прикладываю файл сборщика логов

CollectionLog-2018.06.14-09.48.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unity Web Player

VKOKAdBlock

Служба автоматического обновления программ

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Сделано. правда, логи были не по адресу C:\AdwCleaner\Logs\AdwCleaner[sxx].txt

Расположение было: C:\AdwCleaner\AdwCleaner[sxx].txt

папка log вообще не была создана

2 файла прикладываю

AdwCleanerC0.txt

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

Верно, инструкция была для актуальной версии, которая на Вашей системе не запустится.

 

Далее:

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-1960408961-1715567821-839522115-1003\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
    FF user.js: detected! => C:\Documents and Settings\Antonova\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\user.js [2017-07-06]
    FF Extension: (No Name) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-07-03] [not signed]
    FF Extension: (No Name) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-07-03] [not signed]
    FF Extension: (supermegabest) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23] [Legacy]
    FF Extension: (No Name) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-07-03] [not signed]
    FF Extension: (No Name) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-07-03] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\fb3f-4585-72cf-3324 [2017-08-14] [Legacy]
    FF Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\homepage@mail.ru [2017-08-28] [Legacy]
    FF Extension: (Поиск@Mail.Ru) - C:\Documents and Settings\Antonova\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\search@mail.ru [2017-08-28] [Legacy]
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811021","hxxp://www.yandex.ru/"
    CHR NewTab: Default ->  Active:"chrome-extension://pcodcgbpjdphncjkengnfigoiemaiapc/visual-bookmarks.html", Active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BB10E50A0-1E8F-4FEA-A634-2F994DBCA51D%7D&gp=822368
    CHR DefaultSearchKeyword: Default -> mail.ru
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    2018-06-14 12:16 - 2017-06-14 08:48 - 000000000 ____D C:\Program Files\Mail.Ru
    2018-06-14 12:16 - 2017-06-14 08:48 - 000000000 ____D C:\Documents and Settings\Antonova\Local Settings\Application Data\Mail.Ru
    2018-06-14 12:15 - 2017-06-14 08:57 - 000000000 ____D C:\Documents and Settings\Antonova\Local Settings\Application Data\Unity
    2018-06-09 07:35 - 2017-06-19 08:52 - 000000000 ____D C:\Documents and Settings\Antonova\Application Data\Obnovi Soft
    Task: C:\WINDOWS\Tasks\FF20459C-DA6E-41A7-80BC-8F4FEFD9C575.job => C:\Program Files\VKontOdnBlockU\xIyx2Ak.dll <==== ATTENTION
    Task: C:\WINDOWS\Tasks\FF20459C-DA6E-41A7-80BC-8F4FEFD9C5752.job => C:\Program Files\VKontOdnBlockU\xIyx2Ak.dll <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Отключите в Mozilla все дополнения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Ссылка на комментарий
Поделиться на другие сайты

Отключил все дополнения (они назывались расширениями). проблема не исчезла даже с выключенными дополнениями

прикладываю скрин отключенных расширений (в надежде, что я что то сделал неправильно)

post-50088-0-51331100-1528979057_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

 

 


При работе с браузерами антивирус Касперсого выдает сообщение о попытке перехода по вредоносной ссылке:
Только при работе с браузером, а если закрыты то не выдаёт? И при работе только лисы или остальных браузеров тоже?
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 3545firego
      От 3545firego
      Добрый день. Забылся, что у меня нет антивируса на ПК. Из-за необходимости по работе лазил по разным сайтам, проверял много чего. Как итог: нахватался кучи вирусов. До такого состояния, что антивирусы не мог ни скачать, ни установить.
      Кое-как спас Kaspersky Virus Removal Tool. Однако, он нашёл 5 майнеров которые удалить не смог.
       
      Вот ссылка на тему, которая мне почти помогла: https://forum.kasperskyclub.ru/topic/176865-resheno-lechenie-majnerov-risktoolwin32bitcoinmineromqt-udstrojanwin32minerbbyol-heurtrojanscriptminergen/

      Я застрял на этапе с FRST. Требуется помощь с тем, какой код и куда вставлять.
       
      Дополнительно прилагаю с FRST последние сканы.
      Систему подчистил, использовав 3 раза KVRT. По сути, остались одни майнеры. Ставить антивирус касперского сразу не стал, чтобы другие утилиты не шалили.
       
       
      FRSTPlusAddition.rar
×
×
  • Создать...